Cor*_*rey 8 small-business active-directory ipv6 pfsense best-practices
当独立于提供商的地址空间或 ISP 分配的静态前缀都不可用,并且委托前缀(通过 DHCPv6)是唯一的选择时……
配置 Active Directory 和域控制器以支持 IPv6 的“最佳实践”是什么?
我从未收到过这个问题的答案,也无法在 Intertubes 上找到任何其他内容,所以我想我会用自己的设置/经验来回答这个问题。
\n\nISP: Comcast with a delegated prefix via DHCPv6\nRouter: pfSense 2.3.3\n路由器的 WAN 接口配置为 DHCPv6,前缀提示为 /56。(根据您的 CPE 和位置,您的提示可能会有所不同。)
\n\nLAN 接口设置为“跟踪”WAN 接口。
\n\n您需要确保您的防火墙规则配置为允许 LAN 接口上的 IPv6 流量。
\n\npfSense 上的 DHCPv6 服务器未启用,网络上的其他任何地方也没有启用。
\n\nLAN 接口上的路由器通告配置为“非托管”,我填写的唯一其他选项是“域搜索列表”。
\n\n在 DNS 解析器上,我使用 DC 的内部 IPv4 地址为 AD 域配置了域覆盖。
\n\n在我的内部 DNS 服务器上,我为分配给 LAN 接口的 IPv6 网络创建了一个反向区域。(这可行,但我必须密切关注它,以防前缀委托发生变化。)
\n\n这一切的最终结果\xe2\x80\xa6
\n\nWindows 计算机根据路由器的 RA 为自己分配 IPv6 地址。但是,由于Windows不支持RFC6106,因此它只能从DHCPv4获取DNS地址。在这种情况下,这实际上是一件好事,因为 IPv6 前缀不是静态的,可能会在没有通知的情况下发生变化,从而更改 DNS 服务器的 IPv6 地址。
\n\nWindows 计算机还在那里注册其 IPv6 地址的 AAAA 和 PTR 记录。
\n\n当前缀改变时会发生什么?
\n\n不多,现有连接继续使用“已折旧”前缀运行,并且使用新前缀创建新连接。
\n\n我认为我没有将静态 v6 地址分配给我的 DC/DNS 服务器,从而打破了“最佳实践”,但它似乎工作得很好。(希望对此有一些意见。)
\n\n当前缀更改时,我唯一需要手动执行的操作是在 DNS 中创建相应的反向查找区域。(我可能应该写一个 PS 脚本来为我做到这一点。)
\n\n如果康卡斯特提供静态前缀,那就会让事情变得更干净一些。
\n| 归档时间: |
|
| 查看次数: |
1951 次 |
| 最近记录: |